-
Passwörter online speichern
Autor: iSchulze 16.06.15 - 09:06
Ich hab auch eine ganze Weile überlegt, wie ich meine Passwörter am sinnvollsten verwalten kann - aber sie online auf irgendeinem fremden Server abzulegen, bei dem ich nicht weiß wer noch außer mir darauf zugreifen kann, war von Anfang an keine Option. Dass das prinzipiell keine gute Idee ist, zeigen die Angriffe auf LastPass - denn lukrativ sind solche Angriffe natürlich, wenn sie Erfolg haben. Klar, die sind auch verschlüsselt und alles, aber ob es eine Backdoor für die Server-Betreiber bzw. die NSA gibt um mit einem Master-Passwort irgendwas auslesen zu können, da bin ich doch lieber vorsichtig und trage meine Daten auf nem USB-Stick mit mir rum.
-
Re: Passwörter online speichern
Autor: UP87 16.06.15 - 09:14
Sicher, dass es eine Backdoor gibt? Wenn es notwendig ist das Master-Kennwort zurückzusetzen, weil man es vergessen hat, verliert man alle gespeicherten Kennwörter. Könnte man natürlich softwareseitig implementieren, aber ich denke das liegt einfach daran, dass es keine Backdoor und keinen Zugriff auf die Daten gibt.
-
Re: Passwörter online speichern
Autor: M. 16.06.15 - 09:20
Das ist schon mal eine sehr vernünftige Entscheidung. Allerdings ...
> da bin ich doch lieber vorsichtig und trage meine Daten auf nem
> USB-Stick mit mir rum.
Was willst du mit dem USB-Stick? Wenn du ihn dazu benutzt, die Passwort-Datenbanken auf deinen eigenen Geräten zu verteilen, gut. Wenn du ihn irgendwann mal auf einem fremden Rechner benutzt, auch nur um mal eben die E-Mails zu lesen, schlecht. Oder generell ausgedrückt: Passwörter haben auf fremden Systemen ebenso wenig verloren wie in der Cloud. Glücklicherweise haben wir ja heute bezahlbare Laptops, Smartphones, Tablets etc.
There's no sense crying over every mistake,
you just keep on trying 'till you run out of cake. -
Re: Passwörter online speichern
Autor: katzenpisse 16.06.15 - 09:22
UP87 schrieb:
--------------------------------------------------------------------------------
> Sicher, dass es eine Backdoor gibt? Wenn es notwendig ist das
> Master-Kennwort zurückzusetzen, weil man es vergessen hat, verliert man
> alle gespeicherten Kennwörter. Könnte man natürlich softwareseitig
> implementieren, aber ich denke das liegt einfach daran, dass es keine
> Backdoor und keinen Zugriff auf die Daten gibt.
Das ist doch kein Beweis. Ich binde dem Kunden ja nicht auf die Nase, dass ich eine Backdoor habe :-D -
Re: Passwörter online speichern
Autor: katzenpisse 16.06.15 - 09:23
iSchulze schrieb:
--------------------------------------------------------------------------------
> da bin ich doch lieber vorsichtig und trage meine Daten auf nem
> USB-Stick mit mir rum.
Warum nicht auf dem Smartphone? -
Re: Passwörter online speichern
Autor: Y-Chromosom 16.06.15 - 09:48
Also ich speichere meine Passwörter in einem Truecrypt Container, der einen versteckten Container enthält. Ich denke mal das ist ganz akzeptabel mit zwei 40 stelligen Master Kennwörtern. Wo soll man denn sonst seine Passwörter ablegen? Wenn man für jeden Dienst/ Seite Login Daten hat wird das schwierig mit dem Merken.
-
Re: Passwörter online speichern
Autor: UP87 16.06.15 - 10:45
katzenpisse schrieb:
--------------------------------------------------------------------------------
> UP87 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Sicher, dass es eine Backdoor gibt? Wenn es notwendig ist das
> > Master-Kennwort zurückzusetzen, weil man es vergessen hat, verliert man
> > alle gespeicherten Kennwörter. Könnte man natürlich softwareseitig
> > implementieren, aber ich denke das liegt einfach daran, dass es keine
> > Backdoor und keinen Zugriff auf die Daten gibt.
>
> Das ist doch kein Beweis. Ich binde dem Kunden ja nicht auf die Nase, dass
> ich eine Backdoor habe :-D
Ich sehe es ja auch nicht als Beweis, sondern hinterfrage es auch. Aber alles andere wäre der umgekehrte Beweis. -
Re: Passwörter online speichern
Autor: frostbitten king 16.06.15 - 11:54
Auf dem Smartphone wär ich auch ein wenig vorsichtig.
-
Re: Passwörter online speichern
Autor: Th3Dan 16.06.15 - 12:09
Wenn es um Sicherheit geht liegt die Beweislast definitiv bei dem der behauptet, ein System wäre sicher. In den USA z.B. haben die Firmen eine Verpflichtung zur Kooperation mit den Behörden und dürfen diese NICHT bestätigen geschweige denn den betroffenen Kunden etwas davon erzählen. Anders ausgedrückt: Das Gesetz zwingt die Firmen letztendlich zum lügen. Sie schreiben sich Sicherheit auf die Fahne, aber hinter den Kulissen können die Behörden auf unverschlüsselte Daten zugreifen. Ist auch keine Theorie sondern gabs alles schon, auch bei größeren Firmen.
Das Problem bei solchen Firmen ist: Die Software ist Closed-Source, kein Mensch weiß also was die wirklich macht. Und bei dem Cloudkrams kommen noch serverseitige Teile dazu, auf die du als Nutzer weder Einfluss hast noch diese Kontrollieren kannst. Verwendet man die Dienste trotzdem kann man seine Daten nicht als sicher ansehen, da eben einige sicherheitsrelevante Punkte nicht abschließend geklärt sind. Nutze ich hingegen OS-Software die am besten schon ein Audit hinter sich hat, liegt alles bei mir lokal. Damit diese Daten gefährdet sind muss ich mich schon fahrlässig verhalten. Das ist dann aber meine eigene Schuld. Bei LastPass & co. kann ich mich noch so vorbildlich verhalten, bringt überhaupt nichts wenn die Firma mein Vertrauen mit Füßen tritt und sich fahrlässig verhält.
Beweise sind also überflüssig. Wenn man seine Daten bestmöglichst absichern möchte verwendet man vertrauenswürdige OS-Software und zwar lokal. Alles andere ist weniger sicher und KANN zu einer tickenden Zeitbombe werden. Wohlgemerkt KANN, nicht MUSS. Aber man hat eben ein zusätzliches Risiko, dass bei lokalen OS-Tools nicht vorhanden ist. -
Re: Passwörter online speichern
Autor: /mecki78 16.06.15 - 12:54
iSchulze schrieb:
--------------------------------------------------------------------------------
> Klar, die sind auch
> verschlüsselt und alles, aber ob es eine Backdoor für die Server-Betreiber
> bzw. die NSA gibt um mit einem Master-Passwort irgendwas auslesen zu
> können,
Das könntest du ja nachschauen, denn es gibt ja ein Browser Bookmarklet bzw. Browser Plugin ohne nativen Code, beide 100% JavaScript und somit ist jeglicher Code von beiden einsehbar. Wie willst du dort eine Backdoor verstecken?
> da bin ich doch lieber vorsichtig und trage meine Daten auf nem
> USB-Stick mit mir rum.
Und was machst du dann mit dem Stick? In deinen Rechner stecken? Toll, ist der infiziert, dann hast du sofort verloren. Ergo sind die Daten auf dem Stick nicht sicherer als wenn sie dort auf der Platte liegen würden. Oder würdest du den in fremde Rechner stecken? Warum schickst du sie dann nicht gleich der NSA per E-Mail? Einen USB Stick in einen fremden Rechner zu stecken, von dem du nichts weißt, den du nicht kontrollierst und der absolut nicht vertrauenswürdig ist ja wohl eine total bescheuerte Idee.
/Mecki -
Re: Passwörter online speichern
Autor: Iruwen 16.06.15 - 13:08
LastPass ist eine Firma die Geld verdienen will. Mit einem sehr klar definierten Geschäftsmodell. Also wenn sie nicht gerade eine Tochterfirma der NSA sind und alle Kennwörter entgegen ihrer Behauptung als Klartext speichern kann die NSA verlangen was sie will, selbst mit vollem Zugriff auf alle Daten könnte sie nichts anfangen.
Davon abgesehen hab ich was z.B. mein E-Mail Postfach angeht mehr Sorge was Kriminelle angeht als Geheimdienste, die haben anderweitig einfacheren Zugriff darauf.



